6月27日凌晨,張華(化名)被久未聯系的好友電話叫醒。電話那頭,好友告訴他,他的QQ被盜號瞭,賬號給100多名QQ好友發瞭不雅信息和圖片。“大型社死現場!”張華感慨。他已使用QQ賬號10多年,每月登陸幾次。
張華的經歷並非個例。6月26日晚間,全國多地網友爆料稱,QQ平臺出現大規模用戶被盜號事件,被盜的QQ號深夜向多個好友及群聊發送不雅色情圖片。對此,騰訊QQ官方6月27日發表聲明稱,調查發現事件主要原因系用戶掃描不法分子偽造的遊戲登陸二維碼並授權登陸,該登陸行為被黑產團夥劫持並記錄,隨後被不法分子利用發送不良圖片廣告。
涉事的第三方平臺超星學習通客服此前回復澎湃新聞稱,QQ賬號被盜與平臺沒有關系。
稍早前,6月21日,該公司曾就“疑似學習通APP用戶數據泄露”一事發佈聲明稱,學習通已經向公安機關報案,公安機關已經介入調查。
相關律師分析認為,一旦查實黑產盜取大量QQ賬號發佈不雅圖片,就構成非法利用信息系統罪。
有網絡安全專傢在接受澎湃新聞采訪時表示,QQ生態非常開放,用戶數據不僅可以授權給很多遊戲平臺,還可以授權給其他第三方社交媒體平臺,在授權的過程中,用戶的數據也順帶授權過去;此次事件,更多的責任可能在QQ授權的第三方平臺。
張華被盜號後,QQ賬號被凍結。
QQ用戶授權第三方平臺時數據易泄露
2007年,張華註冊瞭QQ號。最初,張華用QQ來聊天、玩小遊戲。回憶起此前用QQ的時光,張華說“算是一種童年的回憶。”
QQ空間互踩、QQ遊戲大廳裡的鬥地主小遊戲,讓張華印象深刻。他對QQ有一種情結,即便隨著各種社交媒體的普及應用,他還是會時不時登陸QQ。慢慢地,QQ在他看來成瞭一個用來聯系舊時好友的小角落,“會時不時登陸進去看看有沒有消息遺落”。
此次“QQ盜號”事件裡,張華有100多位QQ好友收到瞭用張華QQ號發送的色情圖片和鏈接。盜號事件發生後,張華曾向平臺提起申訴,“後來我的QQ號解封瞭,把那些被盜號之後發的內容全部都自動撤回瞭”。
張左也是QQ的資深用戶。2009年,他在網吧註冊瞭QQ賬號,一用就是13年。QQ也是他最常使用的軟件之一。
最初,張左這個QQ號主要用來打遊戲,那時的遊戲有QQ堂、穿越火線、地下城勇士等。對他來說,當時QQ的社交作用不大。在智能手機還沒普及的年代,他登錄QQ主要還是在電腦上。到瞭初中,他才逐漸接觸有“手機QQ”軟件的手機。高中年代,他的個別同學已經擁有瞭能登錄QQ的手機。
那時,張左的QQ號就被盜過幾次,他通過平臺的安全中心找回瞭賬號。最讓他氣憤的一次是,他在網吧用完電腦後,忘記退出QQ就離開瞭,而此後使用這臺電腦的人,惡作劇般地把他QQ上的好友全部刪掉,並修改瞭他的昵稱和簽名。他通過QQ的找回好友功能,才找回瞭被刪掉的好友。
張左稱,初中和高中時代,QQ似乎還沒有“建群聊”的概念,老師發通知更多的是在班裡或者通過校園通發信息給傢長。到瞭大學,QQ似乎承擔瞭更多社交上的功能。分離的初中和高中同學,主要通過QQ聯系,大學班級建瞭群聊,老師在群裡發學習資料或發公告。
在張左看來,微信和QQ有著不同的用戶群體和使用場景。微信更多地摻雜著工作屬性,而QQ則“是自由的”,用戶群體更年輕。作為資深的QQ用戶,即便在微信的使用場景越來越多的情況下,他仍然堅持使用QQ,發空間動態,還在幾年前花六七百元購買瞭QQ會員。
申訴找回過程中,張華簽訂合規使用承諾書。來源:受訪者提供
此次騰訊QQ號被盜,問題可能出在哪個環節呢?
來自數美科技黑產研究院專傢宇航在接受澎湃新聞采訪時分析認為,QQ生態相對來說較為開放,本身用戶體量大。由於生態非常開放,用戶數據不僅可以授權給很多遊戲平臺,還可以授權給其他第三方社交媒體平臺,在授權的過程中,用戶的數據也順帶授權過去。
該專傢分析稱,“此次事件暴露出來的問題,本身更多的責任可能並不在於QQ,而是在QQ授權的第三方平臺。”該專傢表示,在這樣多的應用相互交互的情況下,去做數據安全包括賬號的安全,難度會大非常多。
澎湃新聞註意到,騰訊QQ在其官方聲明中提到,提醒廣大用戶,不要掃描來源不明的二維碼。在非常用環境下登陸賬號時要提高安全警惕,防范賬號被盜的風險。
盜號背後的黑產,或構成非法利用信息系統罪
近年來,黑產鏈利用QQ詐騙牟利的事情時有發生。
數美科技黑產研究院專傢宇航在接受澎湃新聞采訪時指出,黑產盜號,最主要的目的是通過各種手段來賺錢。被盜的賬號或一些被惡意註冊的賬號,會經常散佈賭博網站、色情網站鏈接,欺騙QQ好友轉賬。
“一旦有好友點進去,網站就會給被盜號者提供對應的錢數。假設被盜號的人有一萬個QQ好友,並且給每個好友都發瞭鏈接,總共100萬條,鏈接假設有10萬個人點進去,最終這10萬條鏈接中的每一條,盜號者都會獲得對應的收益,色情網站也是一樣的。”宇航說。
此外,宇航舉例稱,還存在另一類情況。例如,被盜的QQ號碼在QQ空間或群裡發瞭一條鏈接,顯示可以免費領皮膚等信息,用戶在不知情的情況下打開後發現,釣魚網站與官網做得相似度很高,隻有網站域名不一樣。用戶點擊進釣魚網站輸入個人信息後,釣魚網站會自動收集用戶的個人信息,“用戶輸入信息越多,釣魚網站收獲的信息越多。它可以利用這些信息進行詐騙,例如進行電信詐騙,或者冒充某個活動工作人員要求用戶繳納保證金。”
宇航認為,危害性最大的,並不是直接露骨的文字圖片,而是偽裝成好友發博彩網站鏈接,並以自身發財賺錢的經歷誘惑用戶。
北京市京師(上海)律師事務所律師李萍向澎湃新聞介紹,近年來QQ賬號被盜的情況一直存在,或可說明QQ官方對用戶隱私保護的監管存在一定漏洞,所以黑產才選擇QQ這樣有一定用戶基礎的平臺作為違法犯罪的“作案現場”。
李萍認為,很多用戶已改用微信,QQ已不是主流社交軟件,賬號被黑後少有人找回,也少有人主張權利;QQ賬號雖被棄置,但其中存在著大量的隱私資料以及相關聯系人信息。這就好比竊賊進入一個放有財物的空房子,任取財物卻較少有風險。
李萍坦言,目前騰訊QQ官方已向社會做出回應,正在收集整理黑產團夥的犯罪證據,若是騰訊後期可以向警方提供相關犯罪證據,警方則會依法立案調查。一旦查實黑產盜取大量QQ賬號發佈不雅圖片,就構成非法利用信息系統罪,如果存在利用QQ賬戶進行金融詐騙、盜竊等行為,還構成詐騙罪或者盜竊罪。
澎湃新聞以“QQ盜號”為關鍵詞檢索裁判文書網發現,相關裁判文書網共有20份,大部分判決書披露盜號者最後以詐騙罪或其他罪判刑三年以下。
一則廣西2021年的判決書載明,被告人磨某相夥同被告人磨某禮、黃某綿,以非法途徑獲取他人QQ賬戶和登錄密碼等信息,冒充該QQ賬戶持有人向該賬戶的好友發送消息,謊稱朋友住院急需用錢,虛構已經轉款給被害人的截圖,後要求被害人向其指定的支付寶、微信等賬戶轉款從而騙取財物。
最終,磨某相、磨某禮及黃某綿三人被犯詐騙罪,分別被判刑並處罰金。該案中,被告人彭肖某某、磨某詩、磨某禮、陸某德、磨某禮、謝某京、宋某業等人也因使用同樣手段實施詐騙被判刑。
此外,前述被告人使用的工具,是被告人廖某彬創建的遠程操控木馬軟件(釣魚網站鏈接),租賃期間廖某彬通過網絡負責木馬軟件的授權、維護、更新。廖某彬犯提供侵入、非法控制計算機信息系統程序罪被判刑。
專傢:盡量避免重復使用同一套密碼
曲芒(化名)曾經歷過兩次QQ被盜號。
曲芒讀大一時,曾遇到過朋友QQ被盜號的情況。“我當時的同班同學,還沒見過面,過瞭幾天,就給我發瞭消息,說給她充話費。”當時曲芒覺得奇怪,於是沒有充,過瞭一段時間,才知道同班同學的QQ號被盜瞭,是騙子冒充瞭她。
2016年,曲芒自己的QQ號被盜瞭。黑客冒充她,向曲芒的QQ好友借錢,“我幾個好朋友真的以為盜號的騙子是我,直接轉賬瞭”。在好友的提醒下,曲芒趕緊向QQ中心申訴找回賬號。
曲芒稱,當時被盜金額總共未超過500元。她猜測,盜號和她設置的密碼過於簡單有關。
隨著社交媒體的發展,從近五年的發展趨勢來看,宇航認為,大傢對於個人信息隱私保護的意識一直在增強,盜號的現象呈先上升後下降的趨勢。“QQ早期盜號現象蠻的,但現在相對較少,現在對於QQ賬號的管控其實是比較好的。”
此外,宇航表示,近兩年,國傢對於網絡詐騙的打擊力度很強,公安系統都會打擊網絡詐騙,綜合分析來看,近兩年的詐騙案件相較於以前也有所緩解。
被盜號後,如何減少個人損失?
從用戶角度來看,宇航建議,每個用戶都應該去檢查一下QQ號是否真的被利用瞭。如果被盜號瞭,應該盡快去拿常用的密碼做一次整體更新。“我們需要有這種常見的安全意識,因為我們並不確定黑客通過這些手段拿到瞭具體怎樣的信息。
其次,註意將銀行卡密碼等關鍵密碼設置的生日信息等隔離開,盡量避免重復使用同一套密碼。此外,非官方渠道的二維碼、鏈接、網站、應用盡量不要使用,避免信息泄露。
對於平臺運營者,北京市京師律師事務所數字經濟法律事務部執行主任孟博在接受澎湃新聞采訪時指出,網絡運營者處理個人信息,應當遵循合法、正當、必要、誠信原則,不得過度收集個人信息。網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶並向有關主管部門報告。
《網絡安全法》第二十五條規定,網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,並按照規定向有關主管部門報告。